更新时间:2024-04-30 GMT+08:00
个人用户快速配置ModelArts访问权限
ModelArts使用过程中涉及到OBS、SWR等服务交互,需要用户配置委托授权,允许ModelArts访问这些依赖服务。如果没有授权,ModelArts的部分功能将不能正常使用。
约束与限制
- 只有主账号可以使用委托授权,可以为当前账号授权,也可以为当前账号下的所有IAM用户授权。
- 多个IAM用户或账号,可使用同一个委托。
- 一个账号下,最多可创建50个委托。
- 对于首次使用ModelArts新用户,请直接新增委托即可。一般用户新增普通用户权限即可满足使用要求。如果有精细化权限管理的需求,可以自定义权限按需设置。
- 如果未获得委托授权,当打开“访问授权”页面时,ModelArts会提醒您当前用户未配置授权,需联系此IAM用户的管理员账号进行委托授权。
添加授权
- 登录ModelArts管理控制台,在左侧导航栏选择“全局配置”,进入“全局配置”页面。
- 单击“添加授权”,进入“访问授权”配置页面,根据参数说明进行配置。
表1 参数说明 参数
说明
“授权对象类型”
包括IAM子用户、联邦用户、委托用户和所有用户。
“授权对象”
“授权对象类型”选择“所有用户”时不涉及此参数。
- IAM子用户:选择指定的IAM子用户,给指定的IAM子用户配置委托授权。
图1 选择IAM子用户
- 联邦用户:输入联邦用户的用户名或用户ID。
图2 选择联邦用户
- 委托用户:选择委托名称。使用账号A创建一个权限委托,在此处将该委托授权给账号B拥有的委托。在使用账号B登录控制台时,可以在控制台右上角的个人账号切换角色到账号A,使用账号A的委托权限。
图3 委托用户切换角色
“委托选择”
- 已有委托:列表中如果已有委托选项,则直接选择一个可用的委托为上述选择的用户授权。单击委托名称查看该委托的权限详情。
- 新增委托:如果没有委托可选,可以在新增委托中创建委托权限。对于首次使用ModelArts的用户,需要新增委托。
“新增委托 > 委托名称”
系统自动创建委托名称,用户可以手动修改。
“新增委托 > 授权方式”
- 角色授权:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略授权:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。
角色与策略相关介绍请参考权限基本概念。
“新增委托 > 权限配置 > 普通用户”
普通用户包括用户使用ModelArts完成AI开发的所有必要功能权限,如数据的访问、训练任务的创建和管理等。一般用户选择此项即可。
可以单击“查看权限列表”,查看普通用户权限。
“新增委托 > 权限配置 > 自定义”
如用户有精细化权限管理的需求,可使用自定义模式灵活按需配置ModelArts创建的委托权限。可以根据实际需要在权限列表中勾选要配置的权限。
- IAM子用户:选择指定的IAM子用户,给指定的IAM子用户配置委托授权。
- 然后勾选“我已经详细阅读并同意《ModelArts服务声明》”,单击“创建”,即可完成委托配置。
查看授权的权限列表
用户可以在“全局配置”页面的授权列表中,查看已经配置的委托授权内容。单击授权内容列的“查看权限”,可以查看该授权的权限详情。
图4 查看权限
图5 普通用户权限列表
父主题: 典型场景配置实践
